Записи с меткой «Service»

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).

Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

screenshot

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

Сигнатура данной вредоносной программы добавлена в вирусные базы, и потому BackDoor.Saker.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.

Источник

Реклама

22 августа 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — подготовила обзор опасных шпионских приложений, предназначенных для работы в среде операционной системы iOS, которая, как принято считать, остается самой защищенной из мобильных платформ. Как и их аналоги, работающие на других ОС, такие программы позволяют злоумышленникам получать широкий спектр персональной информации пользователей: их СМС-сообщения, историю звонков, GPS-координаты, записи из телефонной книги, фотографии и т. п. Несмотря на то, что подобные продукты способны функционировать лишь на устройствах, имеющих т.н. jailbreak, исходящая от них угроза раскрытия строго конфиденциальных сведений весьма высока.

Владельцы мобильных устройств под управлением операционной системы iOS привыкли к тому, что они надежно защищены от вредоносных программ и атак киберпреступников, однако факт такой защищенности во многом справедлив лишь для тех пользователей, которые не вносили каких-либо модификаций в операционную систему. Если же на их мобильном устройстве выполнен jailbreak (разблокирован доступ к файловой системе), то им может угрожать вполне серьезная опасность раскрытия конфиденциальной информации, которая исходит от коммерческого шпионского ПО, и о такой угрозе большинство из них даже не подозревает.

Для того чтобы установить подобное приложение-монитор, злоумышленнику потребуется совсем немного времени. Все, что ему необходимо, — это получить физический доступ к мобильному iOS-устройству, загрузить программу из Интернета при помощи каталога Cydia (который практически всегда автоматически устанавливается при выполнении процедуры jailbreak) и настроить шпиона. Эти приложения работают незаметно для пользователя, скрытно отправляя все собранные данные на удаленный сервер, откуда при помощи зарегистрированной учетной записи заинтересованный в слежке человек может получить необходимую ему информацию. На представленных ниже изображениях показана процедура установки одного из таких шпионов.

screenshot screenshot screenshot screenshot screenshot screenshot
screenshot

Как видно на последнем изображении, успешно установленная программа отображается в списке каталога Cydia, однако она носит нейтральное название MessagingService, призванное сбить с толку неопытных владельцев взломанных iOS-устройств. Не исключено, что и более опытные пользователи не обратят внимания на приложение, похожее на один из системных компонентов, либо они просто не придадут его наличию особого значения. Практически все производители шпионских программ стараются минимизировать возможность легкого обнаружения их продукции, поэтому для наибольшей конспирации приложения-монитора ими часто используются названия, созвучные с приведенным выше. Например, возможны такие варианты как Radio, MobileService, Core Utilities и т. п.

screenshot

Важно также отметить, что в большинстве случаев коммерческое шпионское ПО для iOS не создает отдельный ярлык на рабочем столе, либо позволяет спрятать его через соответствующие настройки. В частности, им может быть активирован весь функционал, либо только необходимые функции. Более того, существуют способы скрыть значок и самого каталога Cydia, поэтому при хорошо спланированной атаке злоумышленники могут незаметно установить мобильного шпиона на заведомо защищенное iOS-устройство, выполнив на нем jailbreak.

После установки шпиона злоумышленнику необходимо выполнить его настройку. В частности, им может быть активирован весь функционал, либо только необходимые функции. Также на данном этапе часто имеется возможность задать периодичность, с которой приложение будет связываться с удаленным сервером для загрузки на него всей собранной информации.

screenshot
screenshot

После всех этих процедур готовая к работе шпионская программа начинает свою скрытую деятельность, фиксируя всю важную активность пользователя-жертвы и загружая собранные данные на сервер. Ниже показан пример управляющей веб-панели, содержащей сведения, которые могут быть получены в результате такой слежки.

screenshot screenshot screenshot screenshot
screenshot

В зависимости от разработчика и версий программ-мониторов, работающих в среде операционной системы iOS, их функционал может варьироваться. На диаграмме ниже наглядно продемонстрированы функции, наиболее часто встречающиеся в подобных программах.

screenshot

Из этой диаграммы становится видно, что в подавляющем большинстве случаев шпионское ПО позволяет вести наблюдение за всеми важными аспектами частной жизни пользователей iOS-устройств: от чтения их СМС и email-сообщений, до получения сведений об их контактах, планах, встречах и окружающей обстановке.

На данный момент вирусная база Dr.Web содержит более 50 записей для шпионских iOS-приложений, которые принадлежат к 15 различным семействам. Следующая диаграмма содержит сведения об их процентном распределении.

screenshot

Учитывая, что число iOS-устройств, подвергавшихся процедуре jailbreak, на данный момент может превышать 20 миллионов, а также то, что существует весьма высокая вероятность выполнения целенаправленного взлома остальных устройств, угроза кражи персональной информации шпионскими приложениями становится вполне ощутимой для многих пользователей мобильной продукции производства компании Apple. Для того чтобы обезопасить себя от потенциальной опасности раскрытия конфиденциальных сведений, рекомендуется соблюдать ряд простых, но важных правил:

  • не оставляйте надолго свое мобильное устройство в местах массового скопления незнакомых людей, даже если рядом с ним будут те, кому вы доверяете – подготовленный злоумышленник легко может обойти данное препятствие и без особого труда установить шпиона;
  • обращайте внимание на подозрительную активность мобильного устройства, например, на появление странных сообщений или изменений в графическом интерфейсе, причина которых вам неизвестна;
  • создайте заведомо «чистую» резервную копию содержимого вашего мобильного устройства: при необходимости вы сможете восстановить все важные данные, а также вернуть изначальное состояние операционной системы (в большинстве случаев jailbreak исправляется при помощи обновления или восстановления ОС).

Dr.Web

16.05.2013

16 мая 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты — обнаружила неизвестный ранее функционал в новой вредоносной программе для Facebook, о которой сообщали многочисленные сетевые СМИ. Trojan.Facebook.311 может не только публиковать от имени пользователя новые статусы, вступать в группы, оставлять комментарии, но и рассылать спам в социальных сетях Twitter и Google Plus.

Троянская программа Trojan.Facebook.311 представляет собой написанные на языке JavaScript надстройки для популярных браузеров Google ЗChrome и Mozilla Firefox. Злоумышленники распространяют троянца с использованием методов социальной инженерии — вредоносные программы попадают в систему при помощи специального приложения-установщика, маскирующегося под «обновление безопасности для просмотра видео». Примечательно, что установщик имеет цифровую подпись компании Updates LTD, принадлежащей Comodo. Надстройки называются Chrome Service Pack и Mozilla Service Pack соответственно. С целью распространения троянца злоумышленники создали специальную страницу на португальском языке, ориентированную, по всей видимости, на бразильских пользователей Facebook.

screen

После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить с сервера злоумышленников файл с набором команд. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети Facebook. После этого троянец может выполнять от имени пользователя различные действия, обусловленные содержащимися в конфигурационном файле командами злоумышленников: поставить «лайк», опубликовать статус, разместить на стене пользователя сообщение, вступить в группу, прокомментировать сообщение, пригласить пользователей из списка контактов жертвы в группу или отправить им сообщение. Помимо этого троянец может по команде злоумышленников периодически загружать и устанавливать новые версии плагинов, а также взаимодействовать с социальными сетями Twitter и Google Plus, в частности, рассылать спам.

screen

В последнее время Trojan.Facebook.311 был замечен за распространением в сети Facebook сообщений, содержащих изображение, которое имитирует встроенный в браузер медиаплеер. При щелчке мышью по нему пользователь перенаправляется на различные мошеннические ресурсы. Аналогичным образом с помощью личных сообщений и статусов троянец рекламирует мошеннические викторины, в которых якобы можно выиграть различные ценные призы.

screen

Сигнатура данной угрозы добавлена в вирусные базы и потому не представляет опасности для пользователей антивирусных программных продуктов Dr.Web. Несмотря на то, что злоумышленники ориентировали Trojan.Facebook.311 на жителей Бразилии, схожая схема может быть применена и в отношении других пользователей Facebook. Специалисты «Доктор Веб» рекомендуют проявлять бдительность, не загружать и не устанавливать подозрительные приложения или «обновления безопасности» для браузеров.

В рамках образовательного некоммерческого проекта ВебIQметр сегодня на эту тему появился тест. Вам необходимо зарегистрироваться, чтобы пройти его.

«Лаборатория Касперского» отразила одну из мощнейших в истории Рунета DDoS-атак

«Лаборатория Касперского» объявила об успешном отражении
DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды
превышала 60 Гбит/с. Благодаря усилиям специалистов, все это время
веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention —
«Новой газеты» был доступен пользователям для посещения с
минимальными задержками. Исключение составляли лишь те непродолжительные
периоды, когда с нагрузкой не справлялись магистральные каналы связи.

По оценкам экспертов, данная атака была одной из самых масштабных в
истории Рунета и ее мощности вполне хватило бы для отключения части
российского интернета.

Распределенная атака типа «отказ в обслуживании»
(Distributed Denial of Service, DDoS) на сайт «Новой газеты»
началась 31 марта 2013 года в 22:00 и представляла собой плавно
нарастающую по силе атаку типа SYN-flood. Все это время сайт СМИ не
испытывал проблем с доступностью. В середине следующего дня, после того,
как был достигнут пик 700 Мбит/с, атакующие сменили тактику, реализовав
мощнейшую атаку типа DNS amplification, в результате которой каналы
нескольких крупнейших Российских провайдеров связи были блокированы, а
сайт «Новой газеты» в течение 25 минут был недоступен для
пользователей. Однако в результате оперативного взаимодействия
специалистов «Лаборатории Касперского» с провайдерами работа
сайта была восстановлена при продолжающейся атаке.

Следующим заметным шагом злоумышленников стала массированная атака,
начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупнейших
операторов связи принять оперативные меры с целью прекращения перегрузки
своих магистральных каналов, что привело к блокировке маршрутов до сайта
«Новой газеты». К 19:00 экспертами «Лаборатории
Касперского» было реализовано решение, позволившее обеспечить
доступность сайта СМИ в пределах российского сегмента Сети. 3 апреля в
сотрудничестве с крупнейшими операторами связи были предприняты
действия, обеспечивающие ограничение транзита основного потока
атакующего трафика, достигающего в пике 60 Гбит/с и способного причинить
значительный ущерб всему Рунету. Это позволило полностью восстановить
доступность сайта «Новой газеты» и обеспечить его дальнейшую
эффективную защиту.

Очередная попытка повлиять на доступность ресурса началась в 13:05 с
комбинации атак типа HTTP flood и RST flood незначительной мощности.
После 40 минут атаки, никак не повлиявшей на работу веб-сайта
«Новой газеты», атака дополнилась компонентами DNS
Amplification мощностью около 5Гбит/с и SYN-flood мощностью около 3,5
миллиона пакетов/сек. Однако из-за того, что атакующие DNS-сервера
находились за пределами российского сегмента Сети, увеличить этот вид
атаки до критических значений злоумышленникам не удалось. В течение
последующих двух часов атакующие безуспешно использовали всевозможные
комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после
17:00 попытки заблокировать доступ к веб-сайт «Новой газеты»
прекратились: активной еще почти на сутки осталась незначительная атака
типа SYN-flood мощностью около 20000 пакетов/сек. На данный момент атака
полностью прекратилась.

«DDoS-атака, организованная на сайт «Новой газеты»,
является одной из мощнейших в истории российского Интернета: они
продолжалась в течение трех дней, в пиковые моменты достигала 60 Гбит и
4 млн пакетов/сек. Несмотря на это, большую часть времени сайт работал в
штатном режиме, а общая продолжительность недоступности составила менее
трех часов, — говорит Алексей Афанасьев, руководитель проекта
Kaspersky DDoS Prevention «Лаборатории Касперского». —
Очевидно, что подобная атака была организована профессионалами, а
затраты на ее проведение могут составлять десятки тысяч долларов
США».

«Исходя из нашего опыта, мы не верили в существование эффективной
защиты от DDoS-атак, которые случаются с нами с завидной регулярностью.
Однако данный инцидент показал, что сайт может продолжать работу, даже
находясь под мощной и продолжительной атакой, а его посетителям
обеспечивается возможность получать актуальную информацию и
новости», — сказал Сергей Соколов, заместитель главного
редактора «Новой газеты».

Сервис Kaspersky DDoS Prevention представляет собой уникальную для
российского рынка мощную систему распределенной фильтрации трафика,
состоящую из высокопроизводительных серверов, расположенных в разных
странах и подключенных к Сети по высокоскоростным каналам связи. Такое
решение позволяет выдержать DDoS-атаку практически любой мощности.

Дополнительная информация об атаке на «Новую газету»
доступна на сайте: www.novayagazeta.ru/society/57539.html.

Вирус Win32.HLLW.AntiDurov

Настоящая эпидемия разразилась в мае.

Инфицированные этой новой чумой машины начинают рассылать другим пользователям “Вконтакте” ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (http://*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл “deti.scr”, который, собственно, и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса “Durov VKontakte Service” и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт “Вконтакте“, а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с “ВКонтакте.РУ” Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!


Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных — документы, фотографии, электронные письма и многое другое.

Что делать
Оригинальный рецепт расположен на самом сайте вконтакте http://vkontakte.ru/note10_7159709
Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.

Для удаления вируса Вы можете воспользоваться batch-файлом http://www.spbgu.ru/upload/kuzya/antivirus.bat

Сохраните его на диск и запустите.

Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:

1. Откройте консоль «Службы». Для этого следует пройти по следующему пути: «Пуск» > «Панель управления» > «Администрирование» > «Службы»

2. В открывшемся окне найдите службу «Durov Vkontakte Service», и откройте окно свойств, щёлкнув дважды по строке

3. Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере — C:\\Documents and Settings\имя пользователя\Application Data\Vkontakte)

4. Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC(DEL), и на вкладке «Процессы» найдите процессы с названием svc.exe

5. Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку «Завершить процесс». Закройте Диспетчер задач.

6. Откройте командную строку: для этого в окне «Пуск» > «Выполнить…» наберите «cmd» и нажмите Enter:

7. В окне командной строки наберите «sc delete AntiDurov» (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter

8. Перейдя в окно консоли «Службы», убедитесь, что служба «Durov Vkontakte Service» отсутствует (предварительно обновите содержимое окна, нажав F5)

9. Откройте «Мой компьютер» и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.

10. В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:

P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:

Пуск > Поиск > «Что выхотите найти: файлы и папки», в поле «Часть имени файла…» введите»svc.exe», в «дополнительных параметрах» отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки)
Если файла с таким названием не найдено (именно с таким названием, файлы вроде «cisvc», «svchost» не в счёт), то вируса, вероятнее всего, нет.
Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.

ИСТОЧНИК

ДЛЯ ТЕХ У КОГО УСТАНОВЛЕН СТАРЫЙ MICROSOFT OFFICE ТАКОЙ КАК 97, 2003, 2007 и 2010 

ДЛЯ СОВМЕСТИМОСТИ ФОРМАТОВ ОФИСА УСТАНОВИТЕ СООТВЕТСТВУЮЩЕЕ ПРОГРАММНО ОБЕСПЕЧЕНИЕ.

что бы новые форматы открывались в старых версиях

FileFormatConverters

Обзор


Пользователям программ Word, Excel или PowerPoint пакетов Microsoft Office XP и 2003: перед загрузкой пакета обеспечения совместимости установите обновления с высоким приоритетом с веб-сайта Microsoft Updateперед тем, как загрузить пакет обеспечения совместимости.Установив пакет обеспечения совместимости в качестве дополнения к пакетам Microsoft Office 2000, Office XP или Office 2003, вы сможете открывать, редактировать и сохранять файлы в новых форматах, которые используются в последних версиях программ Word, Excel и PowerPoint. Пакет обеспечения совместимости можно также использовать вместе со средствами просмотра Microsoft Office Word 2003, Excel 2003 и PowerPoint 2003 для просмотра файлов, сохраненных в новых форматах. Дополнительные сведения о пакете обеспечения совместимости см. в статье базы знаний 924074.

Примечание. Если программа Microsoft Word 2000 или Microsoft Word 2002 используется для чтения или записи документов, содержащих набор сложных знаков, то для правильного отображения документов Word в новых версиях приложения следует обратиться к сведениям, содержащимся в статье 925451.

Администраторам: можно загрузить административный шаблон для конвертеров Word, Excel и PowerPoint, содержащийся в пакете обеспечения совместимости.

Обновление. Пакет обеспечения совместимости Microsoft Office обновлен и включает пакет обновления 2 (SP2). Теперь, если файлы DOCX или DOCM содержат настраиваемые теги XML, то теги удаляются при открытии файла в Word 2003. Дополнительные сведения см. в статье KB978951

Системные требования


  • Операционные системы:Windows 2000 Service Pack 4, Windows Server 2003, Windows Vista, Windows Vista Service Pack 1, Windows XP Service Pack 1, Windows XP Service Pack 2, Windows XP Service Pack 3
    Windows 7;Windows Server 2008
  • Рекомендуемые программы Microsoft Office:
    • Microsoft Word 2000 с пакетом обновления 3 (SP3), Microsoft Excel 2000 с пакетом обновления 3 (SP3) и Microsoft PowerPoint 2000 с пакетом обновления 3 (SP3)
  • Microsoft Word 2002 с пакетом обновления 3 (SP3), Microsoft Excel 2002 с пакетом обновления 3 (SP3) и Microsoft PowerPoint 2002 с пакетом обновления 3 (SP3)
  • Microsoft Office Word 2003 с пакетом обновления 1 (SP1) или более поздней версии, Microsoft Office Excel 2003 с пакетом обновления 1 (SP1) или более поздней версии и Microsoft Office PowerPoint 2003 с пакетом обновления 1 (SP1) или более поздней версии
  • Средство просмотра Microsoft Office Word 2003.
  • Средство просмотра Microsoft Office Excel 2003
  • Средство просмотра Microsoft Office PowerPoint 2003

Инструкции


Установка обновления

  1. Убедитесь, что ваша система обновлена, установив обновления с высоким приоритетом и обязательные обновления, загруженные с веб-сайта Microsoft Update(требуется для пользователей Microsoft Office XP и 2003).
  1. После установки обновлений с высоким приоритетом и обязательных обновлений с веб-сайта Microsoft Update загрузите пакет обеспечения совместимости, нажав кнопку Загрузка, расположенную выше, и сохранив файл на жестком диске.
  1. Чтобы запустить программу установки, дважды щелкните сохраненный на жестком диске исполняемый файл FileFormatConverters.exe.
  1. Выполните установку, следуя указаниям на экране.

Удаление загружаемого файла

  1. В меню «Пуск» операционной системы Windows щелкните значок Панель управления.
  1. Выберите Установка и удаление программ.
  1. В списке установленных программ выберите Пакет обеспечения совместимости для выпуска 2007 системы Office, а затем нажмите Удалить или Добавить или удалить. При появлении диалогового окна следуйте инструкциям по удалению программы.
  1. Нажмите кнопку Да или ОК, чтобы подтвердить удаление программы.

И С Т О Ч Н И К